跨国公司需要关注的国家安全那些事儿(一):生物相关数据出境与国家安全
2024.03.04 杨锦文 李圆圆
一、前言
国家安全的概念较为宽广,不仅涉及到人们熟知的反间谍、反分裂国家、反恐怖主义、反外国制裁、核安全、国家秘密等议题,在数字互联时代,也涉及到网络安全、数据安全、生物安全等内容。近年来部分跨国企业因此被追究法律责任的案例引起热议,且国家安全涉及到的责任对于企业高管来说影响更为重大,给企业经营带来了非常大的不确定风险。我们从跨国企业在中国开展业务的角度出发,立足于本地法律,根据业务实战经验,拟为跨国企业从事跨境业务经常涉及到的国家安全问题进行一个系列性的分析,包括国家秘密、反间谍、生物安全、网络安全、数据安全等方面,为企业遵守中国法律和合法合规开展业务及防范风险提供法律指引。
随着科技的不断发展,如指纹识别信息、面部识别信息、基因检测等生物相关数据在现代社会中的应用越来越广泛。这些数据在许多领域中发挥着重要的作用,包括身份验证、犯罪侦查、医学研究等。然而,随着这些生物相关数据的价值不断增加,其不仅对于个人隐私非常敏感,而对国家安全的重要性也日益凸显。就生物相关数据出境而言,例如就人类遗传资源与外方开展科学研究活动、境内外机构的生物及医学科研合作、在外刊发表科研文章等场景均有可能涉及生物相关数据出境,从而关系到国家安全问题。此前,我国基因图谱在国外期刊上发布等事件引起舆论哗然,使得生物相关数据对于国家安全的意义更为大众所认知,生物相关数据出境可能引起国家安全的相关风险,需要相关单位和人员审慎处理。
本文拟着眼于生物相关数据出境在国家安全方面涉及人类遗传资源、重要数据出境、网络安全审查、生物相关物项和技术的出口管制、限制出境生物相关数据等几个方面的问题,将跨国公司在跨国业务中所涉的国家安全问题提纲挈领予以介绍,为处理生物相关数据的相关单位提供数据合规以及维护国家安全防范风险的思路。
二、生物安全的范畴
根据《生物安全法》,生物安全,是指国家有效防范和应对危险生物因子及相关因素威胁,生物技术能够稳定健康发展,人民生命健康和生态系统相对处于没有危险和不受威胁的状态,生物领域具备维护国家安全和持续发展的能力。从事下列活动需要适用《生物安全法》:(一)防控重大新发突发传染病、动植物疫情;(二)生物技术研究、开发与应用;(三)病原微生物实验室生物安全管理;(四)人类遗传资源与生物资源安全管理;(五)防范外来物种入侵与保护生物多样性;(六)应对微生物耐药;(七)防范生物恐怖袭击与防御生物武器威胁;(八)其他与生物安全相关的活动。
生物安全的范畴较为广泛,生物安全是国家安全的重要组成部分。维护生物安全应当贯彻总体国家安全观,统筹发展和安全,坚持以人为本、风险预防、分类管理、协同配合的原则。
三、人类遗传资源
根据《人类遗传资源管理条例》和《人类遗传资源管理条例实施细则》,人类遗传资源包括人类遗传资源材料和人类遗传资源信息,其中人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料;人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。人类遗传资源信息包括利用人类遗传资源材料产生的人类基因、基因组数据等信息资料,但不包括临床数据、影像数据、蛋白质数据和代谢数据。
因人类遗传资源较为敏感且关系到生物安全和国家安全问题,采集、保藏、利用、对外提供我国人类遗传资源均受到规制,尤其是对于外国组织、个人及其设立或者实际控制的机构(以下简称“外方单位”)有诸多限制,包括以下:
外方单位不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源;
外方单位需要利用我国人类遗传资源开展科学研究活动的,应当遵守我国法律、行政法规和国家有关规定,并采取与我国科研机构、高等学校、医疗机构、企业合作的方式进行;
将人类遗传资源信息向外方单位提供或者开放使用,不得危害我国公众健康、国家安全和社会公共利益;可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织(科技部)的安全审查;
将人类遗传资源信息向外方单位提供或者开放使用的,应当向国务院科学技术行政部门(科技部)备案并提交信息备份。
目前基因检测等服务逐渐普及,当涉及到基因数据的对外提供、合作科研等方面时,需注意相对方或者涉及到的第三方是否涉及外方机构,提前做好充分调查和了解,避免人类遗传资源出境的相应风险,如确有必要应及时向科技部办理相关手续,取得相应的行政许可。
四、生物安全所涉重要数据
(一)生物安全领域的重要数据
人类遗传资源亦涉及敏感个人信息(如基因数据等,因篇幅所限,本文拟着目国家安全方面,暂不讨论个人信息保护这一部分)和重要数据,同样可能涉及重要数据的相关合规问题,例如重要数据出境的安全评估申报问题。
目前重要数据的范围和种类尚未完全明确,在实践中主要参考部分行业的相关法规和国家标准(包括部分征求意见稿)来进行判断。重要数据一般是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据,其中涉及人类遗传资源或者生物安全的数据包括以下几类(其中包括部分征求意见稿的规定):
达到国家有关部门规定规模或者精度的基因等国家基础数据;
出口管制物项涉及的核心技术、设计方案、生产工艺等相关数据,生物等领域对国家安全、经济竞争力有直接影响的科学技术成果数据;
反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据;
人口数据,涉及人口普查、基因数据、遗传资源等,如:人口普查资料、生命登记信息、人类遗传资源信息、基因测序原始数据、人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料的情况;
诊疗与健康管理信息,涉及电子病历、检测结果、健康档案等各类诊疗、健康数据信息,以及健康医疗数据开发利用结果等信息;
疫情管理相关信息,涉及突发公共卫生事件与传染病疫情监测过程中获得的疫病流行情况,疫情防控过程中获得的病源跟踪、物资调配、交通运输等相关信息;
其他可能影响生态、生物等安全的数据。
如果涉及以上重要数据的出境,则需要根据《数据出境安全评估办法》的规定通过所在地省级网信部门向国家网信部门申报数据出境安全评估。虽有前述,根据《规范和促进数据跨境流动规定(征求意见稿)》中的规定,“二、未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,但此征求意见稿亦尚未生效。建议相关单位在处理前述数据时本着审慎态度进行,积极咨询主管部门和网信部门的意见。
(二)网络安全审查
前述重要数据还可能涉及网络安全审查。根据《网络安全审查办法》,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查;掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
对于“影响或者可能影响国家安全”的判断,包括:核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;赴国外上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险;以及网络信息安全风险。因此,如果企业处理的生物相关数据可能涉及前文所述的重要数据的,还应当考虑相关业务中是否可能触发网络安全审查,并积极咨询主管部门和网信部门的意见。
五、生物相关物项和技术的出口管制
生物相关数据还可能涉及出口管制物项和技术的内容。《出口管制法》中规制的物项(亦包括物项相关的技术资料等数据)主要包括两用物项(指既有民事用途,又有军事用途或者有助于提升军事潜力,特别是可以用于设计、开发、生产或者使用大规模杀伤性武器及其运载工具的货物、技术和服务)、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项,其中与生物安全相关的主要包括生物两用品,涉及《生物两用品及相关设备和技术出口管制条例》以及《中国禁止出口限制出口技术目录》(2023)等规定,其中生物相关数据包括:
实行出口管制的各类病原体,包括菌、毒种及各类活培养物,以及含有此类病原体的各种生物材料(如:细胞、组织、血清、带菌动物等)或非生物材料;无论这些病原体是天然的,还是经过基因修饰的都在出口管制之列,但以疫苗形式存在的除外;
实行出口管制的各种毒素,不包括免疫用毒素,以及经国家主管部门批准的人用药物产品;
实行出口管制的遗传物质包括:染色体、基因组、质粒、转座子、载体(无论是否经过基因修饰);
实行出口管制的相关技术,包括技术资料、技术援助等形式,但不包括在公共领域内的知识,或基础科学研究(无论是否针对本清单所列物项)或普通专利申请所必需的知识;
部分生物农药生产技术和生物技术药物生产技术;
用于人的细胞克隆和基因编辑技术。
以上涉及到的生物相关数据或物项属于禁止出口或者限制出口的内容,需要接触这些数据或物项的企业审慎处理。
六、限制出境生物相关数据
除前述外,根据相关法律法规和国家标准,部分生物相关数据要求境内存储,或者需履行相应手续后方能出境(部分数据可能与重要数据及出口管制物项和技术有重叠),详见下表:
法律法规和国家标准
限制出境生物相关数据
《人口健康信息管理办法》
不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。
《国家健康医疗大数据标准、安全和服务管理办法(试行)》
健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。
《国务院办公厅关于促进“互联网+医疗健康”发展的意见》
患者信息等敏感数据应当存储在境内,确需向境外提供的,应当依照有关规定进行安全评估。
《脐带血造血干细胞库管理办法(试行)》
出于人道主义目的,满足救死扶伤需要,而必须向境外医疗单位提供移植造血干细胞用脐带血时,应严格按我国遗传资源保护管理办法中的有关规定办理手续。
《中华人民共和国种子法》
国家对种质资源享有主权。任何单位和个人向境外提供种质资源,或者与境外机构、个人开展合作研究利用种质资源的,应当报国务院农业农村、林业草原主管部门批准,并同时提交国家共享惠益的方案。
《中华人民共和国畜牧法》
国家对畜禽遗传资源享有主权。向境外输出或者在境内与境外机构、个人合作研究利用列入保护名录的畜禽遗传资源的,应当向省、自治区、直辖市人民政府农业农村主管部门提出申请,同时提出国家共享惠益的方案;受理申请的农业农村主管部门经审核,报国务院农业农村主管部门批准。
向境外输出畜禽遗传资源的,还应当依照《中华人民共和国进出境动植物检疫法》的规定办理相关手续并实施检疫。
新发现的畜禽遗传资源在国家畜禽遗传资源委员会鉴定前,不得向境外输出,不得与境外机构、个人合作研究利用。
《农作物病虫害防治条例》
境外组织和个人不得在我国境内开展农作物病虫害监测活动。确需开展的,应当由省级以上人民政府农业农村主管部门组织境内有关单位与其联合进行,并遵守有关法律、法规的规定。
任何单位和个人不得擅自向境外组织和个人提供未发布的农作物病虫害监测信息。
《蚕种管理办法》
禁止除杂交一代蚕品种以外的蚕遗传资源出口。
因交换需要出口蚕遗传资源的,应当向省级人民政府农业农村(蚕业)主管部门提出申请,同时提出国家共享惠益方案。
对外合作研究利用蚕遗传资源的,按照国务院规定的畜禽遗传资源对外合作研究利用的审批办法审批。
《林木种质资源管理办法》
国家对林木种质资源享有主权。任何单位和个人向境外提供林木种质资源的,应当经国家林业局批准。
向境外提供或者从境外引进林木种质资源的,应当按照一定程序办理审批手续。
《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》
控制者因为学术研讨需要,需要向境外提供相应数据的,在进行必要的去标识化处理后,经过数据安全委员会讨论审批同意,数量在250条以内的非涉密非重要数据可以提供,否则应提请相关部门审批。
不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据,经主体授权同意,并经数据安全委员会讨论审批同意,控制者可向境外目的地传送个人健康医疗数据,累计数据量应控制在250条以内,否则应提请相关部门审批。
控制者不宜将健康医疗数据在境外的服务器中存储,不托管、租赁在境外的服务器。
《GB/T 40660-2021 信息安全技术 生物特征识别信息保护基本要求》
基于生物特征识别信息的身份识别相关算法,以及开展生物特征识别相关活动时收集的生物特征识别信息原则上不应出境、出口,应经相关主管部门审批。
《GB/T 41819-2022 信息安全技术 人脸识别数据安全要求》
在中华人民共和国境内收集或产生的人脸识别数据应在境内存储。因业务需要确需出境的,应按照个人信息出境相关规定进行安全评估。
《GB/T 41807-2022 信息安全技术 声纹识别数据安全要求》
在中华人民共和国境内收集或产生的声纹识别数据应在境内存储,因业务需要确需出境的,应按照个人信息出境相关规定进行安全评估。
《GB/T 41773-2022 信息安全技术 步态识别数据安全要求》
在中华人民共和国境内收集或产生的步态识别数据应在境内存储,因业务需要确需出境的,应按照个人信息出境相关规定进行安全评估。
目前,收集人脸、声纹、步态识别数据并进行人工智能算法开发的企业较多。根据前述规定,处理医疗信息、患者信息、人口健康信息、人脸识别数据、声纹识别数据、步态识别数据以及身份识别相关算法等数据的企业应当注意前述数据需要进行本地化存储,在对外提供和传输以及使用信息系统进行存储、使用和加工时应当审慎判断是否有可能涉及数据出境,就此积极咨询专业机构的意见,如确有业务需要应当办理相关部门的前述相应手续,包括数据出境安全评估。
七、结语
综上所述,生物相关数据与国家安全密切相关,其数据出境可能涉及多个法律和部门的管辖和手续,需要相关企业在处理生物相关数据时本着审慎义务,提高重视程度,加强合规管理,确保生物相关数据的出境不侵犯个人隐私,同时亦妥善维护国家安全。近年来,某些生物医药上市公司高管因此被采取强制措施或者追究刑事责任的案例、某些生物医药公司因违规出境人类遗传资源而被处罚等案例时有发生,需要企业提升安全意识,完善安全制度,强化风险管理,做到警钟长鸣。
